Etusivu » Rekisterinpitäjälle » Minkälaisia henkilötietoja voi käsitellä?

Minkälaisia henkilötietoja voi käsitellä?

Henkilötietolaki asettaa vaatimuksia myös kerättäville ja käsiteltäville henkilötiedoille.

Tarpeellisuus- ja virheettömyysvaatimus

Laissa säädetyt tarpeellisuus- ja virheettömyysvaatimukset ovat hyvän tietojenkäsittely- ja tiedonhallintatavan aikaansaamisen tärkeimpiä edellytyksiä.

Kussakin käsittelytarkoituksessa saa käsitellä tämän tarkoituksen kannalta tarpeellisia tietoja, mutta ei muita tietoja. Edes rekisteröidyn suostumus ei syrjäytä tarpeellisuusvaatimusta.

Esimerkkejä:

  • Työnantaja saa kerätä vain työ- ja palvelussuhteen hoidossa tarpeellisia tietoja työntekijästä.
  • Terveyskeskus voi kerätä ja tallettaa potilasrekisteriin vain potilaan hoidon järjestämisen ja toteuttamisen kannalta tarpeellisia tietoja.
  • Oppilaitos voi kerätä ja tallettaa oppilasrekisteriin vain oppilassuhteen hoitamisessa tarpeellisia tietoja oppilaasta.

Jokainen rekisterinpitäjä (esim. terveyskeskus, työnantaja tai oppilaitos) määrittelee itse tietojen tarpeellisuuden, mutta tarpeellisuus tulee voida perustella objektiivisin mittapuin. Tietosisällön määrittelyyn voivat vaikuttaa mahdolliset asiaa koskevat erityislakien säännökset. Esimerkiksi peruskoulun tehtävät määritellään perusopetuslaissa. Tarpeelliset tiedot määräytyvät tällöin opetuksen järjestämistä koskevien säännösten perusteella. Laissa yksityisyyden suojasta työelämässä on säännöksiä työntekijöistä ja työnhakijoista kerättävistä tiedoista ja tietojen keräämisen edellytyksistä.

Virheettömyysvaatimus merkitsee, että rekisterinpitäjän on huolehdittava tietyssä määritellyssä tarkoituksessä keräämiensä ja tallettamiensa henkilötietojen virheettömyydestä. Rekisterin käyttötarkoituksen kannalta virheellisiä, epätäydellisiä tai vanhentuneitä tietoja ei saa kerätä. Myös tarpeettomat tiedot ovat lain tarkoittamia virheellisiä tietoja.

Tietojen virheettömyyttä arvioitaessa otetaan huomioon henkilötietojen käsittelyn tarkoitus sekä käsittelyn merkitys yksityisyyden suojalle. Esimerkiksi erilaisten etuusasioiden käsittelyssä virheettömyysvaatimuksesta huolehtiminen on erityisen tärkeää rekisteröidyn oikeusturvan kannalta.

Rekisterinpitäjän on huolehdittava virheellisen tiedon korjaamisesta viran puolesta sekä rekisteröidyn vaatimuksesta.

Arkaluonteisten henkilötietojen käsittely

Henkilötietolain 11 §:ssä lueteltujen arkaluonteisten henkilötietojen kerääminen ja käsittely on pääsääntöisesti kielletty. Poikkeuksista säädetään lain 12 §:ssä.

Poikkeukset kattavat muun muassa sellaiset yhteiskunnan toimivuuden kannalta keskeiset toiminnot, joissa tehtävien hoito ei ole mahdollista ilman arkaluonteisten tietojen tallettamista (esimerkiksi terveydenhuollon ja sosiaalipalvelujen järjestäminen).

Lain tarkoittamia arkaluonteisia tietoja ovat tiedot, jotka kuvaavat

  • rotua tai etnistä alkuperää
  • henkilön yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista
  • rikollista tekoa, rangaistusta tai muuta rikoksen seuraamusta
  • henkilön terveydentilaa, sairautta tai vammaisuutta taikka häneen kohdistettuja hoitotoimenpiteitä
  • henkilön seksuaalista suuntautumista tai käyttäytymistä tai
  • henkilön sosiaalihuollon tarvetta tai hänen saamiaan sosiaalihuollon palveluita, tukitoimia tai muita sosiaalisia etuuksia.

Henkilötunnuksen käsittely

Henkilötunnusta saa käsitellä vain henkilötietolain 13 §:ssä säädetyin edellytyksin. Yleinen edellytys on, että henkilötunnuksen tallettaminen on tärkeää rekisteröidyn yksiselitteiseksi yksilöimiseksi.

Kysymys on tällöin yleensä sekä rekisteröidyn että rekisterinpitäjän oikeusturvasta. Tieto tarvitaan, jotta eri rekisteröityjen tiedot eivät sekaannu keskenään. Mikäli muu yksilöintitieto on riittävä, henkilötunnusta ei tule kerätä.

Hyvä tietojenkäsittelytapa edellyttää, ettei kenenkään yksityisyyttä saa perusteettomasti loukata eikä vaarantaa. Tämä merkitsee käytännössä sitä, että henkilötunnuksen kerääminen tarve ja vaihtoehtoisten yksilöintitietojen käyttömahdollisuudet tulee selvittää aina jo suunnitteluvaiheessa kaikkien käsittelyvaiheiden kannalta.

Jokaisen rekisterinpitäjän on lain 13 §:n mukaan huolehdittava siitä, ettei henkilötunnusta merkitä tarpeettomasti henkilörekisterin perusteella tulostettuihin tai laadittuihin asiakirjoihin.

 
Julkaistu 27.9.2013